rsyslog:是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地
loganalyzer:是一款syslog日志和其他网络事件数据的Web前端,提供对日志的简单浏览、搜索、基本分析和一些图表报告的功能
准备环境
server:192.168.242.139 (接收日志的服务器)
client:192.168.242.140 (发送日志的客户端,将产生的用户登陆认证日志发送给客户端)
关闭防火墙以及selinux(两台都配置)
systemctl stop firewalld(关闭防火墙) systemctl disable firewalld(禁用自启动)
vim /etc/sysconfig/selinux SELINUX=disabled(更改状态)
client配置
修改client的rsyslog配置文件,将登陆认证日志发向server
vim /etc/rsyslog.conf #### RULES #### authpriv.* @192.168.242.139 (在规则配置项authpriv.*下添加,意为指向server)
重启rsyslog
systemctl restart rsyslog
server配置
启用udp514端口(分别去掉头部注释)
vim /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
重启rsyslog,观察显示514即可
ss -uapn | grep --color 514
”转发成功“ 这里仅测试转发登陆日志,更多使用方法请登陆官网进行查看http://www.rsyslog.com/
安装loganalyzer
先安装rsyslog-mysql模块
yum -y install rsyslog-mysql
查看自带的生成rsyslog需要库表的工具
rpm -ql rsyslog-mysql /usr/lib64/rsyslog/ommysql.so (生成的模块) /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql (需要导入的数据库)
导入rsyslog所需的库
mysql -uroot -p123 < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql
在mysql中创建rsyslog所需要的用户
grant all on Syslog.* to 'systest'@'127.0.0.1' identified by '123';
启动rsyslog中的udp514端口及ommysql.so模块
vim /etc/rsyslog.conf $ModLoad imuxsock (去掉注释) $ModLoad imklog (去掉注释) $ModLoad ommysql (手动添加) $ModLoad imudp (去掉注释) $UDPServerRun 514 (去掉注释)
定义将登陆信息写入数据库
vim /etc/rsyslog.conf #### RULES #### authpriv.* :ommysql:127.0.0.1,Syslog,systest,123 (规则中写入,对应为模块,数据库地址,数据库,用户,密码)
需要LAMP平台支持,这里直接使用yum安装
yum -y install httpd mysql-server mysql php php-mysql php-gd
cd /var/www/html mkdir tool pwd /var/www/html/tool
下载loganalyzer
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz tar -xf loganalyzer-3.6.5.tar.gz cp -r loganalyzer-3.6.5/src/* /var/www/html/tool cp loganalyzer-3.6.5/contrib/* /var/www/html/tool cd /var/www/html/tool/ chmod +x configure.sh secure.sh ./configure.sh chown -R apache.apache ./*
浏览器访问
到此即可查看到client的登陆日志认证信息,还可以转发更多日志,请官网查看
原文地址:http://blog.51cto.com/jianyu97/2056825
时间: 2024-11-23 04:46:43